Logto是Silverhand公司推出的现代开源身份认证与访问管理(CIAM/IAM)基础设施,核心价值在于以OIDC/OAuth 2.1/SAML为标准,为SaaS、AI应用等提供开箱即用的认证授权能力,兼顾快速集成与企业级安全,支持本地部署与完全自定义,同时提供云托管版本,可替代Auth0等商业方案。
核心功能
1. 认证与登录支持邮箱/短信无密码登录、社交登录(微信、Google、GitHub等30+)、企业SSO(SAML/OIDC)、MFA(TOTP/安全密钥/备用码)、邀请注册、账号绑定。
a. 开箱即用且高度可定制的认证UI,支持自定义CSS与流程,适配Web/SPA/移动端/M2M场景。
2. 授权与访问控制RBAC(用户/组织级)、JWT/不透明令牌校验、自定义令牌声明、API防护,适配多租户隔离需求。
a. 组织模板、成员邀请、按组织启用MFA,支持即时开通(JIT)与租户级登录体验定制。
3. 用户与合规管理用户模拟、创建/挂起/邀请、审计日志、用户迁移,支持数据隔离与全程TLS加密。
a. 符合SOC 2 Type II认证,内置数据加密与隐私保护机制,适配GDPR等合规要求。
4. 集成与生态30+框架SDK(React/Vue/Next.js/Flutter/Go/Python等),支持无代码集成与自定义连接器。
a. 兼容OIDC/OAuth 2.1/SAML,可对接主流IdP(Azure AD/Okta/Google Workspace)与社交平台。
适用场景
| 场景 | 核心价值 | 典型应用 |
| SaaS多租户 | 组织隔离、SSO、RBAC、租户级定制 | 企业协作平台、B2B SaaS、垂直行业云服务 |
| AI应用/Agent | 模型上下文协议适配、安全访问、M2M认证 | AI助手、智能API服务、自动化工作流 |
| 移动/SPA | 密码less登录、社交集成、自定义UI | 客户APP、会员系统、电商用户中心 |
| 企业内部系统 | SSO、MFA、审计日志、RBAC | ERP、OA、数据中台、员工门户 |
| M2M/API服务 | 令牌校验、服务账号、最小权限 | 微服务间通信、CLI工具、第三方API集成 |
技术栈
● 后端:Node.js(TypeScript)、Express/Fastify、PostgreSQL(数据存储)、Redis(缓存/会话)。
● 前端:React(管理控制台)、Svelte(登录UI),支持自定义CSS与组件替换。
● 容器化:Docker/Docker Compose,支持Kubernetes部署,提供Helm Chart。
● 协议:OIDC 1.0、OAuth 2.1、SAML 2.0,兼容主流标准,避免协议陷阱。
部署方式
1. 本地/自托管(OSS免费)Docker Compose(推荐):一行命令启动,适合开发/测试/小规模生产。
git clone https://github.com/logto-io/logto.git
cd logto && docker-compose up -da. Kubernetes:使用Helm Chart部署,支持大规模与高可用,适配AWS/Azure/GCP/私有云。
b. 手动部署:Node.js环境+PostgreSQL+Redis,适合深度定制场景。
2. Logto Cloud(托管服务)免费版:5万MAU,按需付费,零运维,支持快速迁移至OSS版本。
a. 企业版:SLA保障、高级支持、专属隔离环境,适合大规模生产与合规敏感场景。
核心优势
● 开源可控:MIT协议,可完全自定义代码与数据存储,避免供应商锁定。
● 成本友好:OSS永久免费,Cloud免费版覆盖中小规模需求,按需付费无陷阱。
● 开发者友好:低代码集成、详细文档、活跃社区(GitHub 11.2k+星),支持Discord实时交流。
● 安全合规:SOC 2 Type II认证、Argon2加密、全程TLS、审计日志,适配企业级安全要求。
快速上手步骤
1. 部署:使用Docker Compose启动服务,访问http://localhost:3001进入控制台。
2. 配置:创建应用→选择认证方式(密码less/社交/SSO)→启用RBAC/组织管理。
3. 集成:接入对应SDK,前端调用登录接口,后端校验JWT/令牌。
4. 定制:修改UI样式、添加自定义字段、扩展连接器,适配业务流程。